segurança da informação princípios básicos a2

Segurança da Informação

Princípios Básicos

A2

• Segurança da Informação é a proteção da informação

de vários tipos de ameaças para garantir

a continuidade do negócio, minimizar o risco ao negócio.

• Podemos ainda definir Segurança da Informação como

uma área do conhecimento dedicada

à proteção de ativos da informação

contra acessos não autorizados,

alterações indevidas ou a sua indisponibilidade.


ATIVO: É tudo aquilo que possui valor para uma organização.

Exemplo de classificação dos ativos:


Categoria de ativos Exemplo

Tangíveis Informações impressas ou digitais

Impressoras

Móveis de escritório

Intangíveis Imagem de uma empresa

Confiabilidade de um órgão federal

Marca de um produto

ATIVO: É tudo aquilo que possui valor para uma organização.

Exemplo de classificação dos ativos:


Categoria de ativos Exemplo

Lógicos Dados armazenados em um servidor

Físicos Estação de trabalho, sistema de ar-condicionado

Humanos Empregados, prestadores de serviços

Mais ainda:

• Segurança da Informação é obtida a partir da

implementação de um conjunto de controles adequados,

incluindo políticas, processos, procedimentos,

estruturas organizacionais e funções de

software e hardware.


É a prática de gestão de riscos de incidentes que impliquem

no comprometimento dos três principais conceitos da

segurança:

• Confidencialidade,• Integridade,• Disponibilidade.

Agindo em seu manuseio, armazenamento, transporte e

descarte.


Os 3 princípios básicos:

ConfidencialidadeToda informação deve ser protegida conta acesso de pessoas não

explicitamente autorizadas.

IntegridadeToda informação deve ser protegida afim de se evitar que dados sejam

apagados ou alterados de alguma forma não autorizada.

DisponibilidadeToda informação deve ser protegida afim de que os serviços de informática

de tal forma que não sejam degradados ou tornados indisponíveis.


Os Aspectos da Segurança:

AutenticaçãoProcesso de identificação e reconhecimento formal da identidade dos

elementos que entram em comunicação ou fazem parte de uma transação

eletrônica.

Legalidadecaracterística das informações que possuem valor legal dentro de um

processo de comunicação, estando de acordo com as cláusulas contratuais

pactuadas ou a legislação política institucional, nacional ou internacional

vigentes.


C - Confidencialidade

I - Integridade

D - Disponibilidade

A - Autenticação

L - Legalidade

C I D A L


Vulnerabilidades

Ameaças

Ameaças

Agentes ou condições que causam incidentes que comprometem as informações e

seus ativos por meio da exploração de vulnerabilidades, provocando perdas de

confidencialidade, integridade e disponibilidade e, consequentemente, causando

impactos aos negócios de uma organização.

São agentes capazes de explorar as falhas de segurança.


http://images.google.com.br/imgres?imgurl=http://www.expansiondirecto.com/tecnologia/connectis/portada.gif&imgrefurl=http://www.expansiondirecto.com/tecnologia/connectis/&h=231&w=275&sz=17&tbnid=oLccJDFFmk4UmM:&tbnh=91&tbnw=109&hl=pt-BR&start=59&prev=/images%3Fq%3Dconfidencial%26start%3D40%26dnum%3D20%26svnum%3D10%26hl%3Dpt-BR%26lr%3D%26sa%3DN

Ameaças


3 Grandes Grupos

Naturais Intencionais Involuntárias

Fenômenos da natureza e suas intemperes

Incêndios,Enchentes,Terremotos,Maremotos,Aquecimento,Poluição,Etc...

Aquelas propositais

Causadas por agentes humanos:Hackers,Invasores,Espiões,Ladrões,Vírus, Etc...

Ações inconscientes

Causadas pelodesconhecimento.Acidentes,Erros,Falta de energia,Etc...

Vulnerabilidade

Fragilidade presente ou associada a ativos que manipulam e/ou processam

informações que, ao ser explorada por ameaças, permite a ocorrência de um incidente

de segurança, afetando negativamente um ou mais princípios da segurança da

informação: Confidencialidade, Integridade e Disponilibidade.

Por si só não provocam incidentes, são elementos passivos, necessitando para tanto

de um agente causador ou condição favorável, que são as ameaças.

São as falhas que são exploradas pelas ameaças.


Exemplos de vulnerabilidade


Físicas

Instalações prediais fora do padrão;

Salas de CPD mal planejadas;

Falta de extintores;

Risco de explosões;

Vazamentos;

Incêndios.

Naturais

Incêndios,

Enchentes,

Terremotos,

Tempestades,

Falta de energia,

Acúmulo de poeira,

Aumento de umidade e de temperatura.



Hardware

Falha nos recursos tecnológicos;

Desgaste;

Obsolescência;

Má utilização;

Erros durante a instalação.

Software

Erros de instalação

Erros na configuração

que causam acesso indevidos;

Vazamento de informações;

Perda de dados;

Indisponibilidade do recurso quando

necessário.


Mídia

Discos, fitas, relatórios e impressos podem ser perdidos ou danificados.

A radiação eletromagnética pode afetar diversos tipos de mídias magnéticas.

Comunicação

Acessos não autorizados ou perda de comunicação.



Humanas

Falta de treinamento;

Compartilhamento de informações confidenciais;

Não execução de rotinas de segurança;

Erros ou omissões;

Ameaças de bomba;

Sabotagens;

Distúrbios civis, greves;

Vandalismo, roubo, destruição da propriedade ou dados;

Invasões ou guerras.


Medidas de Segurança

São as práticas, os procedimentos e os mecanismos usados para a proteção da

informação e seus ativos, que podem impedir que ameaças explorem

vulnerabilidades.

São ações voltadas à eliminação de vulnerabilidades com vista a evitar a

concretização de uma ameaça.

Podem ter as seguintes características:

Preventivas, Detectáveis, Corretivas



Preventivas

Medidas de segurança que tem o objetivo de evitar que incidentes venham a ocorrer.

Visam manter a segurança já implementada por meio de mecanismos que

estabeleçam a conduta e a ética da segurança na instituição.

São: Políticas de Segurança; instruções e procedimentos de trabalho; campanhas e

palestras de conscientização de usuários; ferramentas como firewall, antivírus, etc...



Detectáveis

Medidas de segurança que visam identificar condições ou indivíduos causadores de

ameaças, a fim de evitar que as mesmas explorem vulnerabilidades.

São: análise de riscos; sistemas de detecção de intrusão; alertas de segurança;

câmeras de vigilância, alarmes, etc...



Corretivas

Ações voltadas à correção de uma estrutura tecnológica e humana para que as

mesmas se adaptem às condições de segurança estabelecidas pela instituição, ou

voltadas à redução dos impactos;

São: equipes para emergências, restauração de backup; plano de continuidade

operacional; plano de recuperação de desastres; etc...


Riscos

Probabilidade de ameaças explorarem vulnerabilidades, provocando perdas de

confidencialidade, integridade e disponibilidade, causando possivelmente, impactos

nos negócios.

Impacto

Abrangência dos danos causados por um incidente de segurança sobre um ou mais

processo de negócio.


Portanto:

Segurança é uma prática voltada à eliminação de Vulnerabilidades.

para reduzir os Riscos de uma Ameaça se concretizar

no ambiente que se quer proteger.


RISCOS

Ameaças

Confidencialidade, Integridade, Disponibilidade

Vulnerabilidades

AtivosImpacto


Exploram

Expondo

PerdasCausam

Limitados

Impedem

segurança da informação princípios básicos a2

Documents